Cơ sở hạ tầng Công nghệ thông tin đang ngày càng phát triển hơn bao giờ hết trong thời đại 4.0, từ đó dẫn đến nhu cầu của bảo mật mạng ngày càng cao. Đối với những người làm việc trong lĩnh vực mạng thì chắc hẳn Netflow không phải là một cái tên xa lạ.
Công cụ này đã được tạo ra bởi Cisco nhiều năm trước đây, và đã trở thành tiêu chuẩn chính để thu thập thông tin lưu lượng IP. Dần dần, nó đã có được một vị trí nhất định trong lĩnh vực quản trị mạng với khả năng cung cấp dữ liệu về hiệu suất mạng, cũng như khả năng phân tích lưu lượng mạng rất tốt của mình.
Trong bài viết này, chúng ta sẽ cùng tìm hiểu về Netflow là gì.
Netflow là một công cụ được sử dụng rộng rãi cho việc thu thập và phân tích dữ liệu của network flow [luồng mạng]. Datagram của nó gồm nhiều thông tin khác nhau như Source Port, Dest Port, Source IP – Dest IP, giao thức IP và loại dịch vụ IP. Nếu ta thu thập thông tin từ các record của công cụ này trên những thiết bị enable Netflow [chẳng hạn như router, switch], ta sẽ hiểu rõ hơn nhiều thông tin về mạng. Chẳng hạn như nơi dữ liệu mạng đang đến và đi, số lượng lưu lượng đang được tạo ra, người dùng đang sử dụng băng thông nhiều nhất.
Các data point [điểm dữ liệu] này có thể được ứng dụng tìm kiếm những điểm bất thường, giám sát việc sử dụng băng thông, lập kế hoạch cho dung lượng của mạng, hay đánh giá mức hiệu quả của chính sách QoS.
Ngoài ra, Netflow còn có phiên bản thứ 10 – với tên gọi IPFIX. Nhưng đây là một phiên bản được kiểm soát bởi chính phủ.
Tiếp đến, hãy cùng tìm hiểu đôi chút về lịch sử hình thành của công cụ này. Hiện nay thì Netflow v5 chính là phiên bản được sử dụng phổ biến nhất. Sở dĩ vì nó đã có định dạng fixed packet, và vẫn được hỗ trợ bởi nhiều router khác nhau. Còn v7 và v8 thì chỉ có một số cải tiến, và hiện không còn được sử dụng nữa. Tiếp đến là phiên bản thứ 9, đã được đơn giản hóa đi nhiều vì được trang bị thêm FNF cùng định dạng dynamic packet.
Trải qua 9 phiên bản khác nhau, Netflow v9 – phiên bản mới nhất – vẫn giữ vững được vị trí của mình trong lĩnh vực mạng với hiệu suất tuyệt vời, cũng như là một thành phần quan trọng trong các hoạt động bảo mật.
Output chính của mọi phiên bản Netflow là một flow record. Trải qua các phiên bản, công cụ này đã cải thiện được định dạng của các bản flow record này, và định dạng phổ biến nhất chính là của phiên bản thứ 9. Netflow 9 giúp người dùng ghi lại hiệu suất mạng một cách linh hoạt, chính xác. Đồng thời nó cũng là nền tảng của một tiêu chuẩn IETF mới.
Sau đây là một số ứng dụng phổ biến nhất của Netflow Analyzer:
Dữ liệu của Netflow cho phép những người quản trị mạng mạng xem những bảng báo cáo đầy đủ về lưu lượng truy cập theo các interface, ứng dụng hoặc giao thức cụ thể trong mạng. Từ đó, người quản trị mạng có thể hiểu rõ hơn về lượng băng thông đang được sử dụng. Bằng cách xác định ra những người tiêu thụ băng thông nhiều nhất trong mạng, người quản trị mạng có thể lên kế hoạch tối ưu hóa việc sử dụng và lên kế hoạch sử dụng dung lượng.
Đối với các ứng dụng lưu trữ cloud như Office 365, thì lượng sử dụng internet trong các tổ chức thường sẽ cao hơn. Khi đó, việc phân tích lưu lượng mạng giúp admin biết được truy cập nào đã làm tăng băng thông. Từ đó rút ra được ảnh hưởng của Office 365 cũng như các ứng dụng cloud khác tác động đến băng thông mạng.
Netflow cung cấp khả năng hiển thị đầy đủ cho các mạng. Do đó ta có thể chỉ định các phần lưu lượng muốn theo dõi dựa trên các track cung cấp bởi công cụ này. Lấy ví dụ như ta muốn phân loại lưu lượng mạng HTTP/S theo port hoặc phân loại lưu lượng dựa theo giao thức được sử dụng. Khi đó, người quản trị mạng có thể quan sát lượng sử dụng băng thông tốt hơn [như nguồn và đích của lưu lượng]. Bên cạnh đó, admin cũng có thể tùy chỉnh dữ liệu theo nhu cầu – chẳng hạn như để record, phân tích chi tiết hay dùng để lên kế hoạch phù hợp.
Từ dữ liệu của Netflow, người quản trị có thể tương quan địa chỉ IP với người dùng đã truy cập. Qua đó có thể nhanh chóng dự đoán QoS [Quality of service] và phân bổ tài nguyên hợp lý cho mỗi người dùng. Đồng thời, thông qua việc biết được những người dùng đã giao tiếp với các địa chỉ IP, cũng như các ứng dụng người dùng đã truy cập, người quản trị còn có thể ngăn chặn nguy cơ mạng bị xâm nhập hay nhiễm malware.
Bảo mật mạng là một ứng dụng vô cùng quan trọng khác của Netflow. Thông qua việc theo dõi dữ liệu, admin có thể tìm ra nơi đang tiêu thụ tài nguyên nhiều nhất. Bởi vì như ta đã biết, các cuộc tấn công mạng thường sẽ tiêu thụ rất nhiêu tài nguyên, nên đây hoàn toàn có khả năng là một dấu hiệu cho các hoạt động vi phạm bảo mật an ninh mạng. Đồng thời, sử dụng trình phân tích nâng cao còn giúp ta theo dõi, ghi chép và cải thiện khả năng bảo mật của mạng.
Vậy cách thu thập dữ liệu của Netflow là gì? Thông thường, các admin sẽ sử dụng các công cụ giám sát của Netflow để thu thập và phân tích dữ liệu thu được. Công cụ này sử dụng một bộ thu thập [collector] để thu thập được các gói mạng. Sau đó xuất flow data từ các thiết bị đã enable Netflow. Tiếp đến, các admin sẽ sử dụng một Netflow Analyzer để xử lý flow data thô thành những thông tin chi tiết, có ý nghĩa thực tiễn.
Việc giám sát Netflow yêu cầu ba thành phần cơ bản sau:
- Flow exporter: là một thiết bị mạng [router, firewall] chịu trách nhiệm lấy flow data và xuất sang một flow collector.
- Flow collector: thiết bị thu thập flow data được xuất.
- Flow analyzer: ứng dụng kiểm tra và phân tích flow data thu được từ flow collector.
Vậy lý do sử dụng Netflow là gì? Các thống kê có được từ công cụ này rất hữu ích cho nhiều ứng dụng khác nhau. Sau đây là một số tính năng nổi bật nhất của Netflow:
- Giám sát mạng: Trước hết phải nói về khả năng giám sát mạng của công cụ này. Các doanh nghiệp và người dùng cá nhân có thể sử dụng các kỹ thuật phân tích flow-based với Netflow để trực quan hóa các mẫu lưu lượng ở trên toàn bộ mạng. Với góc nhìn bao quát này, các nhóm NetOps và SecOps hoàn toàn có thể giám sát thời điểm và tần suất người dùng truy cập vào một ứng dụng nào đó trong mạng. Bên cạnh đó, họ cũng có thể dùng dữ liệu từ Netflow để theo dõi tài nguyên sử dụng trên mạng. Từ đó nhanh chóng phát hiện ra bất kỳ sai phạm nào trên không gian mạng.
- Lập kế hoạch mạng: Các nhóm có thể ứng dụng Netflow vào việc theo dõi và dự đoán sự phát triển của mạng. Chẳng hạn, với công cụ này, ta có thể lập kế hoạch nâng cấp, tăng số lượng port hiện có, số lượng router hay cải tiến interface băng thông. Từ đó đáp ứng được mọi nhu cầu đến từ khách truy cập.
- Phân tích bảo mật: Với Netflow, các nhóm bảo mật có thể phát hiện nhanh chóng những thay đổi trong hành vi mạng. Từ đó xác định được các dấu hiệu bất thường của việc vi phạm bảo mật. Đồng thời, dữ liệu cũng là một bằng chứng trực quan, đáng giá để các nhóm bảo mật có thể học hỏi để rút ra được những phương pháp, kế hoạch bảo mật hợp lý nhất.
Vietnix vừa chia sẻ lợi ích Netflow để giúp bạn có thêm kiến thức cũng như có thể ứng dụng công cụ này vào thực tế để quản lý và giám sát mạng tốt hơn, chúc bạn thành công!
Chúng ta đã bước vào kỷ nguyên mà mọi thứ đang phát triển sang thế giới kỹ thuật số và theo cách đó, sự phụ thuộc vào mạng máy tính đang gia tăng mạnh mẽ. Do đó, nhiều công cụ tự động hơn đang được phát triển cho các mục đích khác nhau để giúp loại bỏ việc quản lý mạng thủ công. Mạng máy tính hiện nay lớn hơn trước đây, do đó, chúng đòi hỏi các công cụ thích hợp để quản lý. Cisco là một trong những tên tuổi thống trị nhất trong lĩnh vực mạng và các bộ định tuyến do họ sản xuất luôn có ý định gây bất ngờ. NetFlow là một tính năng lần đầu tiên được giới thiệu trong các bộ định tuyến của Cisco, giúp bạn theo dõi và thu thập lưu lượng đến và đi trên mạng của mình. Một giao thức mạng như vậy không thể bị bỏ qua trong thế giới ngày nay và cực kỳ hữu ích trong việc quản lý mạng.
Trình phân tích NetFlow thời gian thựcTrong trường hợp bạn đang tự hỏi làm cách nào NetFlow có thể giúp bạn duy trì mạng của mình một cách tinh vi hơn nữa, hãy cho phép tôi cho bạn biết cách làm. Với NetFlow, bạn sẽ có thể theo dõi việc sử dụng băng thông, lưu lượng mạng bao gồm vị trí của lưu lượng [từ nơi nó đang được tạo] và hơn thế nữa. Thông tin này có thể có giá trị lớn đối với người quản trị mạng vì nó giúp hiểu mạng một cách thuận tiện hơn. Nếu bạn muốn sử dụng NetFlow nhưng thiếu các công cụ tự động cần thiết để giúp bạn hoàn thành những gì bạn tìm kiếm, bạn sẽ gặp bế tắc. Nhưng đừng lo lắng vì chúng tôi sẽ hướng dẫn bạn về chủ đề này với công cụ phù hợp cho công việc. Với rất nhiều công cụ ngoài kia, việc lựa chọn một công cụ phù hợp có thể khó khăn.
Công cụ Phân tích NetFlow thời gian thực được phát triển bởi Solarwinds Inc, một tên tuổi nổi tiếng trong lĩnh vực quản lý hệ thống và mạng, sẽ cung cấp cho bạn bất cứ điều gì bạn muốn và hơn thế nữa. Một công cụ hoàn hảo cho công việc. Như đã nói, chúng ta hãy bắt đầu với quá trình cài đặt sản phẩm.
Cài đặt Trình phân tích NetFlow thời gian thực
Để bắt đầu quá trình cài đặt, trước tiên bạn sẽ phải tải xuống công cụ trên hệ thống của mình. Để làm điều này, hãy đi đến liên kết này và nhấp vào Download Free Tool liên kết. Solarwinds cũng cung cấp phiên bản trả phí của công cụ với nhiều tính năng khác mà bạn có thể sử dụng. Vì vậy, nếu sau khi sử dụng công cụ này, bạn thích nó, có lẽ bạn cũng nên sử dụng phiên bản trả phí. Việc cài đặt rất đơn giản và dễ hiểu. Khi bạn đã tải xuống công cụ, hãy làm theo các hướng dẫn đã cho để triển khai công cụ trên hệ thống của bạn:
- Trích xuất .zip tập tin đến bất kỳ vị trí mong muốn nào và sau đó điều hướng đến nó.
- Sau đó, chạy Netflow-Realtime-Installer.exe tệp để bắt đầu trình hướng dẫn cài đặt.
- Sau khi trình hướng dẫn cài đặt bật lên, hãy nhấp vào Next.
Cài đặt trình phân tích NetFlow thời gian thực - Đồng ý với thỏa thuận cấp phép và sau đó nhấp vào Next lần nữa.
- Chọn nơi bạn muốn cài đặt công cụ bằng cách nhấp vào Browse và sau đó đánh Next.
Thư mục cài đặt - Đánh Next một lần nữa để quá trình cài đặt bắt đầu.
- Chờ cho Trình phân tích NetFlow thời gian thực cài đặt và sau đó nhấp vào Finish. Quá trình này sẽ mất 3-4 giây.
Định cấu hình các thiết bị hỗ trợ NetFlow của bạn
Bây giờ, sau khi bạn đã cài đặt công cụ, bạn sẽ phải cấu hình thiết bị của mình để gửi dữ liệu NetFlow đến NetFlow Analyzer. Để làm điều này, bạn có thể sử dụng công cụ NetFlow Configurator miễn phí có thể được tìm thấy ở đây. Để tham khảo, bạn cũng có thể truy cập liên kết này và xem bài báo do Solarwinds xuất bản về cách định cấu hình các thiết bị hỗ trợ NetFlow để gửi dữ liệu đến máy phân tích.
Thêm thiết bị của bạn
Với thiết bị của bạn đã được định cấu hình để gửi dữ liệu NetFlow đến NetFlow analyzer, bây giờ bạn sẽ phải xác định vị trí thiết bị bằng NetFlow Analyzer và sau đó bắt đầu giám sát. Dưới đây là cách xác định vị trí thiết bị của bạn bằng Trình phân tích NetFlow thời gian thực:
- Mở ra NetFlow Analyzer dụng cụ.
- Khi công cụ đã mở ra, hãy thay đổi Listen on port giá trị cho số cổng mà thiết bị của bạn đang xuất dữ liệu.
- Sau đó, nhấp vào Tools và sau đó nhấp vào Add NetFlow Device.
Thêm thiết bị - Cung cấp địa chỉ IP của thiết bị của bạn và chuỗi cộng đồng. Nếu nó đang sử dụng SNMPv3, hãy chọn SNMP Version 3 và thêm thông tin đăng nhập bằng cách nhấp vào Add.
Thông tin đăng nhập thiết bị - Kiểm tra thông tin đăng nhập bằng cách nhấp vào Test cái nút. Sau đó, nhấp vào OK.
- Chờ NetFlow Analyzer xử lý dữ liệu và sau đó hiển thị nó.
- Sau khi hoàn tất, bạn sẽ có thể thấy thiết bị được liệt kê trong Giao diện.
Đã thêm giao diện
Phân tích thiết bị của bạn
Bạn đã thêm thành công thiết bị của mình vào NetFlow Analyzer. Hãy cho nó một phút để nó thu thập tất cả dữ liệu cần thiết mà sau đó bạn có thể bắt đầu phân tích nó. Nếu bạn muốn phân tích một thiết bị, chỉ cần nhấp đúp vào tên thiết bị trong danh sách Giao diện và bạn sẽ được nhắc với một cửa sổ mới. Ở đó, bạn có thể phân tích tất cả dữ liệu từ protocols đến ports đang được sử dụng. Bạn cũng có thể xem những điểm cuối nào đang tạo ra lưu lượng truy cập trong Endpoints Chìa khóa. Bạn có thể theo dõi các cổng đang được sử dụng để xác định các vi phạm bảo mật tiềm ẩn và hơn thế nữa!